Partager via

Considérations de sécurité pour UE-V 1.0

  • Article

Mis à jour: avril 2013

S'applique à: User Experience Virtualization 1.0

Cette rubrique contient une brève présentation des comptes, des groupes et des fichiers journaux. Elle expose également d'autres considérations liées à la sécurité dans Microsoft User Experience Virtualization (UE-V). Pour plus d'informations, consultez les liens fournis ici.

Considérations liées à la sécurité lors de la configuration de UE-V

Lorsque vous créez le partage de stockage des paramètres, limitez l'accès partagé aux utilisateurs qui ont besoin d'y accéder.

Dans la mesure où les packages de paramètres peuvent contenir des informations personnelles, vous devez prendre soin de les protéger au maximum. En général, effectuez les opérations suivantes :

  • Limitez le partage aux seuls utilisateurs qui ont besoin d'y accéder. Créez un groupe de sécurité pour les utilisateurs qui ont redirigé des dossiers sur un partage particulier, et limitez l'accès à ces seuls utilisateurs.

  • Masquez le partage lors de sa création en plaçant un $ après son nom. Vous masquerez ainsi le partage dans les navigateurs les plus courants, et le partage ne sera pas visible dans les favoris réseau.

  • N'accordez aux utilisateurs que le minimum d'autorisations nécessaires. Les autorisations nécessaires sont indiquées dans les tableaux ci-dessous.

    1. Définissez les autorisations suivantes au niveau du partage (SMB) pour le dossier d'emplacement de stockage des paramètres :

      Compte d'utilisateur Autorisations recommandées

      Tout le monde

      Aucune autorisation

      Groupe de sécurité de UE-V

      Contrôle total

    2. Définissez les autorisations NTFS suivantes pour le dossier d'emplacement de stockage des paramètres :

      Compte d'utilisateur Autorisations recommandées Dossier

      Créateur/propriétaire

      Aucune autorisation

      Aucune autorisation

      Administrateurs de domaine

      Contrôle total

      Ce dossier, sous-dossiers et fichiers

      Groupe de sécurité des utilisateurs de UE-V

      Afficher les dossiers/Lire les données, Créer des dossiers/Ajouter des données

      Ce dossier uniquement

      Tout le monde

      Supprimer toutes les autorisations

      Aucune autorisation

    3. Définissez les autorisations suivantes au niveau du partage (SMB) pour le dossier du catalogue de modèles de paramètres.

      Compte d'utilisateur Autorisations recommandées

      Tout le monde

      Aucune autorisation

      Ordinateurs du domaine

      Niveaux d'autorisation en lecture

      Administrateurs

      Niveaux d'autorisation en lecture/écriture

    4. Définissez les autorisations NTFS suivantes pour le dossier du catalogue de modèles de paramètres.

      Compte d'utilisateur Autorisations recommandées S'applique à

      Créateur/propriétaire

      Contrôle total

      Ce dossier, sous-dossiers et fichiers

      Ordinateurs du domaine

      Afficher et lire le contenu du dossier

      Ce dossier, sous-dossiers et fichiers

      Tout le monde

      Aucune autorisation

      Aucune autorisation

      Administrateurs

      Contrôle total

      Ce dossier, sous-dossiers et fichiers

Utiliser des serveurs Windows Server 2003 ou version ultérieure pour héberger les partages de fichiers redirigés

Les fichiers de package de paramètres utilisateur contiennent des informations personnelles qui sont transférées entre l'ordinateur client et le serveur qui stocke les packages de paramètres. C'est pourquoi, vous devez vous assurer que les données sont protégées lors de leur transfert via le réseau.

Les données des paramètres utilisateur sont vulnérables et souvent la cible des menaces potentielles suivantes : interception et/ou falsification des données lors de leur transmission sur le réseau, et usurpation d'identité du serveur qui héberge les données.

Plusieurs fonctionnalités de Windows Server 2003, et versions ultérieures, aident à sécuriser les données utilisateur :

  • Kerberos - Kerberos est fourni en standard dans toutes les versions de Windows 2000 et Windows Server 2003 ainsi que dans les versions ultérieures. Kerberos garantit le plus haut niveau de sécurité aux ressources réseau. NTLM authentifie le client uniquement ; Kerberos authentifie le serveur et le client. Lorsque NTLM est utilisé, le client ne sait pas si le serveur est valide. Cela est particulièrement important si le client échange des fichiers personnels avec le serveur, comme c'est le cas avec les profils itinérants. Kerberos assure une meilleure sécurité que NTLM. Kerberos n'est pas disponible sur les systèmes d'exploitation Windows NT version 4.0 ou antérieures.

  • IPsec - IPsec (IP Security Protocol) assure l'authentification au niveau du réseau, l'intégrité des données et le chiffrement. Le protocole IPsec assure les opérations suivantes :

    • Les données itinérantes sont protégées contre la modification des données pendant leur transfert.

    • Les données itinérantes sont protégées contre l'interception, l'affichage ou la copie.

    • Les données itinérantes sont protégées contre tout accès illicite en provenance de parties non authentifiées.

  • Signature SMB - Le protocole d'authentification SMB (Server Message Block) prend en charge l'authentification des messages, ce qui évite les messages actifs et les attaques de type "man-in-the-middle". La signature SMB assure cette authentification en plaçant une signature numérique dans chaque SMB. La signature numérique est ensuite vérifiée à la fois par le client et par le serveur. Pour pouvoir utiliser la signature SMB, vous devez d'abord l'activer ou l'exiger à la fois côté client SMB et côté serveur SMB. Notez que la signature SMB entraîne une altération des performances. Elle ne consomme pas plus de bande passante réseau, mais utilise plus de cycles processeur côté client et côté serveur.

Toujours utiliser le système de fichiers NTFS pour les volumes contenant des données utilisateur

Pour sécuriser davantage la configuration, configurez les serveurs qui hébergent les fichiers de paramètres UE-V afin qu'ils utilisent le système de fichiers NTFS. Contrairement à FAT, NTFS prend en charge les listes de contrôle d'accès discrétionnaire (DACL) et les listes de contrôle d'accès système (SACL). Ces listes DACL et SACL permettent de contrôler les utilisateurs qui effectuent des opérations sur un fichier et les événements qui déclencheront la journalisation des actions effectuées sur un fichier.

Ne pas compter sur le système EFS pour chiffrer les fichiers des utilisateurs lors de leur transmission sur le réseau

Lorsque vous utilisez le système de fichiers EFS (Encrypting File System) pour chiffrer les fichiers situés sur un serveur distant, les données chiffrées ne sont pas chiffrées lors de leur transmission sur le réseau. Elles ne le deviennent que lors de leur stockage sur disque.

Il existe des exceptions à cette règle : lorsque votre système intègre IPsec (Internet Protocol security) ou WebDAV (Web Distributed Authoring and Versioning). IPsec chiffre les données lors de leur transport sur un réseau TCP/IP. Si le fichier est chiffré avant d'être copié ou déplacé vers un dossier WebDAV sur un serveur, il reste chiffré tout au long de la transmission et du stockage sur le serveur.

Chiffrer le cache des fichiers hors connexion

Par défaut, le cache des fichiers hors connexion est protégé sur les partitions NFTS par les listes ACL, mais le chiffrement du cache renforce la sécurité sur un ordinateur local. Par défaut, le cache de l'ordinateur local n'est pas chiffré, ainsi tous les fichiers chiffrés mis en en cache à partir du réseau ne seront pas chiffrés sur l'ordinateur local. Cela peut poser un risque de sécurité dans certains environnements.

Lorsque le chiffrement est activé, tous les fichiers situés dans le cache des fichiers hors connexion sont chiffrés. Cela inclut le chiffrement des fichiers existants, ainsi que de tous ceux qui sont ajoutées par la suite. La copie mise en cache sur l'ordinateur local est concernée, mais pas celle de la copie réseau associée.

Le cache peut être chiffré de deux manières :

  1. Via une stratégie de groupe. - Activez le paramètre Chiffrer le cache des fichiers hors connexion, situé sous Configuration ordinateur\Modèles d'administration\Réseau\Fichiers hors connexion, dans l'Éditeur de stratégie de groupe.

  2. Manuellement. - Sélectionnez Outils, puis Options des dossiers dans le menu de commande de l'Explorateur Windows. Sélectionnez l'onglet Fichiers hors connexion, puis activez la case à cocher Chiffrer les fichiers hors connexion pour sécuriser les données.

Laisser UE-V Agent créer les dossiers pour chacun des utilisateurs

Pour assurer le bon fonctionnement de UE-V, créez uniquement le partage racine sur le serveur et laissez UE-V Agent créer les dossiers pour chaque utilisateur. UE-V créera ces dossiers utilisateur avec la sécurité adéquate.

Cette configuration d'autorisation permet aux utilisateurs de créer des dossiers pour le stockage des paramètres. UE-V Agent crée et protège un dossier settingspackage tout en s'exécutant dans le contexte de l'utilisateur. L'utilisateur bénéficie d'un contrôle total sur son dossier settingspackage. Les autres utilisateurs n'héritent pas d'accès à ce dossier. Vous n'avez pas besoin de créer et de sécuriser des répertoires utilisateur individuels. Cette opération est effectuée automatiquement par l'agent qui s'exécute dans le contexte de l'utilisateur.

Notes

D'autres mesures de sécurité peuvent être prises lorsqu'un serveur Windows est utilisé pour le partage du stockage des paramètres. UE-V peut être configuré de manière à vérifier que le groupe de l'administrateur local ou l'utilisateur actuel est bien le propriétaire du dossier où les packages de paramètres sont stockés. Pour activer une sécurité supplémentaire, procédez ainsi :

  1. Ajoutez une clé de Registre REG_DWORD nommée « RepositoryOwnerCheckEnabled » sous HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration .

  2. Définissez la clé de Registre sur la valeur 1.

Lorsque ce paramètre de configuration est en place, UE-V Agent vérifie que le groupe de l'administrateur local ou l'utilisateur actuel est le propriétaire du dossier settingspackage. Si ce n'est pas le cas, UE-V Agent interdira l'accès au dossier.

Si vous devez créer des dossiers pour les utilisateurs, assurez-vous de disposer des autorisations correctes.

Nous vous recommandons de ne pas créer de dossiers à l'avance, mais plutôt d'autoriser UE-V Agent à créer le dossier pour l'utilisateur.

Assurez-vous que les autorisations correctes sont définies lorsque vous stockez les paramètres UE-V dans le répertoire de base d'un utilisateur.

Si vous redirigez les paramètres UE-V vers le répertoire de base d'un utilisateur, veillez à ce que les autorisations d'accès à ce répertoire soient définies conformément aux règles de votre entreprise.

Voir aussi

Autres ressources

Sécurité et confidentialité pour UE-V 1.0

-----
Vous pouvez en apprendre plus sur MDOP dans la bibliothèque TechNet, rechercher des informations sur le dépannage dans le Wiki TechNet ou nous suivre sur Facebook ouTwitter.
-----